Gartner：摒棄網(wǎng)絡(luò)安全"大轉(zhuǎn)型"策略，采用持續(xù)改進模式

根據(jù)Gartner副總裁分析師理查德·阿德斯科特的觀點，采用"大轉(zhuǎn)型"思維模式進行網(wǎng)絡(luò)安全建設(shè)的組織實際上會增加網(wǎng)絡(luò)風(fēng)險。

在Gartner于悉尼舉辦的安全與風(fēng)險管理峰會上，阿德斯科特表示，隨著組織將IT支出重新導(dǎo)向人工智能（AI）項目，這種思維模式必須改變。

"這個問題我們可以通過化整為零的方式來更好地解決，"他說道，"我們可以將其分解為具體時刻，進行預(yù)判，并形成可以快速實施的想法。"

為了獲得成功，首席信息安全官（CISO）應(yīng)該采用靈活、響應(yīng)迅速且能快速調(diào)整方向的方法，擁抱持續(xù)改進的Kaizen模式，通過連續(xù)的小幅改變實現(xiàn)可持續(xù)改進。

阿德斯科特概述了安全領(lǐng)導(dǎo)者可以應(yīng)用這種漸進方法的四個關(guān)鍵領(lǐng)域。

現(xiàn)代化身份和訪問管理

AI智能體的大量涌現(xiàn)將導(dǎo)致數(shù)千個機器身份需要認(rèn)證。Gartner預(yù)測，到2028年，由于機器身份管理不當(dāng)，四分之一的安全漏洞將通過基于智能體的攻擊面發(fā)生。

認(rèn)識到在攻擊普遍存在的世界中，優(yōu)秀的身份管理可以成為競爭差異化因素，網(wǎng)絡(luò)安全團隊必須以與保護人類身份相同的嚴(yán)格性來對待和保護機器身份。阿德斯科特建議投資身份、可視化和智能平臺（IVIP），以獲得對所有身份的持續(xù)實時觀測能力。

實施守護智能體

組織應(yīng)該監(jiān)管AI智能體的行為，特別是防止智能體與大語言模型之間的意外數(shù)據(jù)泄漏。這可以通過部署小型、簡單的"守護"智能體來實現(xiàn)，這些守護智能體可以快速訓(xùn)練——通常只需一個下午——來過濾敏感數(shù)據(jù)，如個人身份信息和商業(yè)機密。

"你可以使用這種小型守護模型創(chuàng)造驚人的價值，即使只是作為工作協(xié)調(diào)器，因為沒有任何理由說AI必須提供所有邏輯，特別是對于確定性業(yè)務(wù)規(guī)則，"阿德斯科特說道。

應(yīng)對網(wǎng)絡(luò)攻擊的常態(tài)化

持續(xù)不斷的網(wǎng)絡(luò)攻擊已經(jīng)導(dǎo)致敏感性下降，這可能會誘使高管削減安全支出。CISO不應(yīng)直接反對預(yù)算削減，而應(yīng)該通過提問來重新構(gòu)建對話："為什么有些企業(yè)在遭受攻擊時承受的損失更??？"

阿德斯科特表示，答案是韌性："這是一種思維轉(zhuǎn)變，如果我們能夠減輕威脅行為者的危害，這與預(yù)防攻擊是一樣的。"

"影響閾值"的概念可以幫助將韌性理念轉(zhuǎn)化為行動。影響閾值定義了特定業(yè)務(wù)流程的最大可接受停機時間。例如，超市的采購系統(tǒng)停機時間不能超過一到兩天，否則新鮮農(nóng)產(chǎn)品就會從貨架上消失，但如果供應(yīng)商有90天付款期限，支付處理中斷可能可以容忍更長時間。這些閾值為高管建立了一套共同的目標(biāo)和關(guān)鍵績效指標(biāo)（KPI）。

"我們在這里所做的是為網(wǎng)絡(luò)安全定義了一套勝利條件。不再是要預(yù)防一切，而是要防止任何事情超出商定的閾值。這也集中在我們最有可能獲勝的行動集合上，那就是韌性，"阿德斯科特解釋道。

然而，真正的韌性需要定期練習(xí)。Gartner的數(shù)據(jù)顯示，一些擁有不可變備份的組織在遭受攻擊后仍然支付贖金，因為他們對自己恢復(fù)數(shù)據(jù)的能力缺乏信心，這往往是由于測試不夠頻繁。要讓利益相關(guān)者放心，需要對恢復(fù)手冊和部分災(zāi)難恢復(fù)故障轉(zhuǎn)移進行一致、真實的測試，以證明維持公司運營所需的最低系統(tǒng)可以快速恢復(fù)。

將AI應(yīng)用于安全運營中心

即使是高級威脅行為者也以平常的方式使用AI，使用被盜憑據(jù)滲透系統(tǒng)，然后應(yīng)用AI搜索日志尋找容易攻擊的目標(biāo)。安全團隊?wèi)?yīng)該效仿這種做法，將日志輸入檢索增強生成（RAG）管道，識別攻擊者可能利用的相同漏洞，然后修復(fù)它們。

來自安全工具的遙測數(shù)據(jù)也可以輸入大語言模型，為個別員工創(chuàng)建定制的安全意識內(nèi)容和威脅模擬——可能包括深度偽造。

Gartner預(yù)計，到2028年，在安全運營中心有效部署AI的組織將大幅減少對人工干預(yù)事件的需求，將安全分析師的角色從響應(yīng)者提升為監(jiān)督者。阿德斯科特舉了一個大型企業(yè)的例子，該企業(yè)在單個報告期內(nèi)檢測到超過50,000個事件；絕大多數(shù)由AI驅(qū)動的自動檢測和響應(yīng)處理，只留下幾百個需要人工關(guān)注。不過，他警告說，團隊必須首先確定其基線性能指標(biāo)，以有效衡量改進并證明未來預(yù)算的合理性。

阿德斯科特最后提醒聽眾，雖然這些策略具有協(xié)同作用，但應(yīng)該本著持續(xù)改進的精神逐步應(yīng)用。他指出，在此過程中交付價值至關(guān)重要。

"在為機器身份和AI智能體實現(xiàn)企業(yè)現(xiàn)代化方面，我們面臨著巨大的、事業(yè)定義性的挑戰(zhàn)，但同時也有巨大的機會將我們的使命改變?yōu)槲覀儗嶋H上可以獲勝的東西，那就是韌性，"他說道，"即使我認(rèn)為我們無法通過大轉(zhuǎn)型的方式擺脫這種'一切、到處、立即'的混亂，我實際上非常有信心我們在網(wǎng)絡(luò)安全領(lǐng)域絕對可以通過創(chuàng)新找到出路。"

Q&A

Q1：為什么Gartner建議摒棄網(wǎng)絡(luò)安全"大轉(zhuǎn)型"策略？

A：根據(jù)Gartner分析師的觀點，采用"大轉(zhuǎn)型"思維模式進行網(wǎng)絡(luò)安全建設(shè)的組織實際上會增加網(wǎng)絡(luò)風(fēng)險。相比之下，通過化整為零的方式，將問題分解為具體時刻，進行預(yù)判并形成可以快速實施的想法，能夠更好地解決安全問題。

Q2：什么是守護智能體，它們?nèi)绾伪Ｗo企業(yè)安全？

A：守護智能體是小型、簡單的AI程序，專門用來監(jiān)管其他AI智能體的行為，特別是防止智能體與大語言模型之間的意外數(shù)據(jù)泄漏。這些守護智能體可以快速訓(xùn)練，通常只需一個下午就能學(xué)會過濾個人身份信息和商業(yè)機密等敏感數(shù)據(jù)。

Q3：網(wǎng)絡(luò)安全中的"影響閾值"概念是什么意思？

A：影響閾值定義了特定業(yè)務(wù)流程的最大可接受停機時間。例如，超市的采購系統(tǒng)停機不能超過一到兩天，否則新鮮農(nóng)產(chǎn)品會從貨架消失。這些閾值幫助企業(yè)建立共同的安全目標(biāo)和關(guān)鍵績效指標(biāo)，重點不再是預(yù)防一切攻擊，而是防止損失超出可接受范圍。